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Resume 


Denne rapport beskriver et APT-angreb mod Udenrigsministeriet (UM), som er foregaet fra de- 
cember 2014 til juli 2015. Analysen viser, at det via phishing-mails lykkedes angriberne at inficere 
en enkelt maskine med malware. En af Udenrigsministeriets it-sikkerhedslpsninger stoppede mal- 
waren i at kommunikere udadtil, og angriberne har derfor ikke haft adgang til maskinen eller data 
pa den. Rapporten beskriver og analyserer angrebet, og forklarer hvordan det blev stoppet. 

Rapporten er udarbejdet af Underspgelsesenheden, der er en del af Center for Cybersikkerhed 
(CFCS) i Forsvarets Efterretningstjeneste. Underspgelsesenheden har til opgave at opsamle erfa- 
ringer fra sadanne haendelser og stille viden til radighed for offentligheden for at modvirke fremti- 
dige, lignende haendelser. 

I slutningen af rapporten er der med udgangspunkt i erfaringerne fra angrebet samlet en raekke 
konkrete anbefalinger henvendt til myndigheder og virksomheder. 
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Sagen: Et APT-angreb pa Udenrigsministeriet 

D. 6. juli 2015 far Center for Cybersikkerhed mistanke om, at en pc tilhprende Udenrigsministeriet 
er inficeret med malware. D. 7. juli 2015 indledes en dialog med UM, som bliver bedt om at identi- 
ficere den inficerede pc, og 3. august 2015 modtager CFCS maskinen til grundigere analyse. Analy- 
sen viser, at maskinen har vaeret inficeret med malware i minimum fire maneder. Analyser viser 
endvidere, at inficeringen er isoleret til maskinen, og at angriberne ikke har haft adgang til maski¬ 
nen eller data pa den. Maskinen er blevet kompromitteret via phishing-mails sendt til en medar- 
bejders e-mailkonto. Mailadressen er blandt otte andre UM-mal, som har modtaget i alt 47 
phishing-mails i perioden december 2014 - juli 2015. Udover UM har en lang raekke udenlandske 
entiteter vaeret mal i kampagnen, heriblandt offentlige organisationer, private virksomheder og 
privatpersoner. 

I det fplgende praesenteres en analyse og gennemgang af forlpbet omkring phishing-angrebet mod 
UM. Rapporten indeholder tre kapitler med en teknisk gennemgang af angrebet baseret pa: 1) 
netvaerksanalyse af trafik i UM-sensoren, 2) malware-analyse af samples taget fra maskinen og 3) 
forensic-analyse af den kompromitterede maskine. 

Efter den tekniske gennemgang gives en kort beskrivelse af den samlede kampagne set i et brede- 
re perspektiv. Endeligt afsluttes rapporten med en raekke anbefalinger til hvordan et lignende an- 
greb mod myndigheder eller virksomheder kan stoppes. 

Malgruppen for rapporten er ledelse og teknikere inden for it-drift og it-sikkerhed. Hensigten med 
rapporten er derudover, at alle med en vis teknisk indsigt kan fa udbytte af at laese om CFCS' virke 
og se hvordan et stprre cyberangreb mod Danmark ser ud. 

Alle relevante parter, der har vaeret berprt af angrebet, er blevet varslet om sagen. 


CFCS' tekniske analysetilgange 

CFCS bruger tre typer teknisk analyse til at afdaekke cyberhaendelser: 

1. Netvaerksanalyse fokuserer primaert pa logs fra datasensorerne hos CFCS'kunder samt fra firewalls, og 
s0ger at kortlaegge kommunikationen mellem maskiner og netvaerk. 

2. Malware-analyse kigger pa det enkelte stykke malware og beskriver dets funktonalitet og saerlige 
kendetegn. 

3. Forensic-analyse har fokus pa, hvad der er haendt pa den enkelte maskine, herunder om der har vaeret 
ondsindet aktivitet pa den. 





1. Netvaerksanalyse 

Dette kapitel beskriver, hvordan angrebet mod UM blev opdaget af CFCS. Derefter er der en analy¬ 
se af, hvordan angrebet er foregaet, hvor mange phishing-mails, der er blevet sendt, hvornar og til 
hvem. I slutningen af kapitlet er der en beskrivelse af, hvordan angriberne har brugt kompromitte- 
rede afsenderadresser for at fa deres phishing-mails til at se mere legitime ud i modtagernes 0jne. 

Malware-trafik findes i UM-sensoren 

Inficeringen af UM-maskinen bliver opdaget som led i en rutinemaessig kontrolgennemgang af nye 
indicators of compromise (IOC) fra en rapport udarbejdet af et it-sikkerhedsfirma. lOC'er, der 
blandt andet bestar af IP-adresser, malware-signaturer og domaene-navne, anvendes til at spge 
efter ondsindet netvaerkstrafik gemt i sensorerne, som er installeret hos CFCS' civile og militaere 
kunder. Sakaldt trafikdata fra sensorerne, eksempelvis en e-mails afsender- og modtagerinforma- 
tion samt emnefelt, gemmes i CFCS datahandteringssystem (se figur 1). De sakaldte pakkedata, 
eksempelvis en e-mails indhold og vedhaeftede filer, gemmes lokalt hos kunden. Disse data ma kun 
analyseres af CFCS, hvis der er en begrundet mistanke om en sikkerhedshaendelse. 

I dette tilfaelde resulterer en manuel spgning pa lOC'er relateret til malwaren i fplgende resultat: 
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Completed 


Search in metadata from data sources 


host = "updateserver3.com” 


Results 48 records found. 


Show 10 ▼ entries 


Fields 



< 


> 

> 

> 

> 

> 

> 

> 

> 

> 

> 




Summary 

updateserver3.com GET 
updateserver3.com GET 
updateserver3.com GET 
updateserver3.com GET 
updateserver3.com GET 
updateserver3.com GET 
updateserver3.com GET 
updateserver3.com GET 
updateserver3.com GET 
updateserver3.com GET 


Figur 1: S0gning pa IOC relateret til malwaren. 

Sdgningen viser, at der i perioder i 2015 har vaeret netvaerkstrafik hos UM til domaenet 'update- 
server3[.]com', der ifplge it-sikkerheds-rapporten er ondsindet. Malwaren pa den inficerede ma- 
skine har altsa pa dette tidspunkt forspgt at kommunikere med domaenet, der fungerer som 
command and control-infrastruktur (C2); muligvis med henblik pa at stjaele data. 


Command and control-infrastruktur 

En command and control-server, ogsa kaldet C2-server eller C&C-server, er betegnelsen for den tekniske 
infrastruktur som en angriber anvender til at kontrollere sin malware. En C2-server kan f.eks. flytte data ind 
og ud af en inficeret maskine eller et netvaerk via den malware, den kontrollerer. Pa den made kan en angri¬ 
ber inficere en maskine eller et netvaerk med yderligere malware eller stjaele vaerdifuld information. 


Med udgangspunkt i lOC'erne opretter CFCS' teknikere automatiserede spgeregler som Ipbende 
holdes op i mod netvaerkstrafikken i alle sensorerne. Fremadrettet vil nye angreb med lignende 
lOC'er pa kunder, der er tilsluttet en sensor, derfor automatisk forarsage en alarm i systemet og 
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give anledning til en naermere analyse. Det er fast procedure, at lOC'er fra abne og lukkede kilder 
jaevnligt laegges ind i sensor-systemet. 

Angrebsvektor og kompromittering 

I denne kampagne mod UM er der fundet 47 phishing-mails. Angrebet varede i mere end syv ma- 
neder og ramte ni forskellige e-mail-konti. I figur 2 nedenfor ses en tidslinje over modtagne 
phishing-mails og hvilke mail-konti, de er sendt til (nummereret #1 til #9). Angrebet straekker sig 
fra d. 9. december 2014 til d. 24. juli 2015. 


2014-12-09: #1 
2014-12-09; 41 

1 

2014 - 12-09 


2015-01-14; 41 
2015 01-10; #1 
2015-01-09; 41 

2015-01-05; 41 2015-01-31; 41 

2015-01-03; 41 | 2015-01-27; 41 


2014-12 27; 41 
2014-12-30:41 
2014-12-28;41 


n 


2015-01-25; 41 
2015-01-25; 41 
2015-01-22; 41 
2015-01-22; 41 
2015 2015-01-22; 41 

ju a&l •• 

III I 


2015-01-15: 42 I I 
2015-01-21:41. 42. #6 
2015-01-25: 41.42 

201S-02-02: 41.42. 46 

2015-02-09: 41.43 
2015-02-09:41. 42. 46 
2015 02-14:41.42.46 
2015-02-14:41.42.46 
2015 02-14,41,42,46 


2015-04-14; 41 
2015-04-14; 41 


•• • m 


2015-05 25; 41 
2015-05-24; 41 
2015 05-12:41 11 
2015 05-04; 41 



2015-05-25; 41 

J l 


2015-06-15; 41 

1 


I I II 

2015-03-30: 49 
2015-04-02: 48 
2015-04-07:47 
2015-04-08: 48 

2015-04-14:43 
2015-04-14; 42 
2015-04-14: 42 
2015-04-16; 42 


I I 

2015-05 25; 42 201546-13: 42 

2015-06-17; 43 


T 

2015-07-24:45 
2015-07-24; 44 


Figur 2: Tidslinje over modtagne phishing-mails, inklusiv modtager (nummereret) 

Som det ses i figur 2, rammes en enkelt postkasse, #1, i begyndelsen af angrebet med et stort an- 
tal forskellige phishing-mails. I januar og februar 2015 tilfpjes #2, #3 og - i et enkelt tilfaelde - #4 til 
modtagerlisten. Efter mere end en maneds pause aendrer angriberne taktik i slutningen af marts 
2015, og der udsendes derefter faerre mails til et bredere udsnit af modtagere. 

UM har fanget nogle af de afsendte phishing-mails i deres egen mailscanner, som spger efter ond- 
sindede indkomne e-mails, men et antal e-mails er alligevel sluppet igennem til brugernes indbak- 
ker. Grunden til, at nogle phishing-mails er sluppet igennem sikkerhedsnettet, kan muligvis vaere, 
at UM's sikkerhedslpsninger er blevet opdateret undervejs med nye signaturer og derfor er blevet 
bedre i stand til at identificere malwaren. Endeligt viser analysen (se mere s. 11), at der afsendes 
flere forskellige versioner af malwaren, og at de nyere versioner er krypteret med henblik pa at fa 
dem til at se uskyldige ud. Dette kan have gjort det svaerere at opsnappe de ondsindede e-mails. 

Angribernes vedholdenhed og gentagne forspg mod postkasse #1 resulterer i en kompromittering 
af denne enkelte maskine. Det kan ikke bestemmes praecist, hvornar inficeringen er fundet sted. 
Dette uddybes i afsnittet 'Analyse af den kompromitterede maskine's. 13. 

Der er ikke registreret yderligere inficeringer af UM-maskiner i relation til denne phishing- 
kampagne. 
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Phishing og spear-phishing 

En phishing-kampagne er generelt karakteriseret ved, at der udsendes en meget stor maengde enslydende 
mails til en bred personkreds. Hensigten er at manipulere modtagerne til at abne vedhaeftede filer eller klikke 
pa indlejrede links i en fremsendt mail. Malet for angriberen kan vaere at inficere offerets maskine med mal¬ 
ware eller lokke vedkommende til at opgive f0lsomme informationer. 

Spear-phishing-mails er forskellige fra phishing-mails ved at vaere malrettede enkeltpersoner, og de er typisk 
lavet, sa de virker saerlig relevante, overbevisende og tillidsvaekkende for offeret. 


Kompromitterede afsenderkonti 

Et saertraek ved kampagnen er, at angriberne har anvendt kompromitterede e-mail-konti som af- 
senderadresse med henblik pa at fa de ondsindede phishing-mails til at fremsta legitime i modta- 
gerens 0jne. Modtagerne i UM har saledes i visse tilfaelde haft mail-korrespondance med personen 
bag den kompromitterede afsenderadresse, som de har modtaget en phishing-mail fra. Det er 
muligt, at angriberne har stjalet UM-mailadresserne fra mailkartoteket i de selv samme kompro¬ 
mitterede e-mail-konti. 

En udenlandsk ambassade og et udenlandsk universitet er to af de fremtraedende kompromittere¬ 
de afsenderadresser. For de to afsendere er emnefeltet i phishing-mailen afpasset afsenderadres- 
sen; igen for at fa phishing-mailen til at se mere legitim ud. 

Blandt afsenderadresserne er der ogsa anvendt en e-mailkonto fra Danmarks Tekniske Universitet 
(DTU). Angriberne har muligvis bevidst anvendt en dansk konto til at ramme danske mal. 

Angriberne har i alt anvendt 21 afsender-adresser til at sende phishing-mails til UM. Da de reste- 
rende afsender-adresser har endelserne: 'mail.com', 'mail.ru', 'gmail.com', 'hotmail.com', 'out- 
look.com' eller 'yahoo.com', er det ikke muligt at identificere yderligere kompromitterede afsen- 
der-konti. 
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2. Malware-ana lyse 

Dette kapitel beskriver, hvordan angriberne forspger at manipulere deres mal til uden deres viden 
at inficere deres maskiner via ondsindede fil-vedhaeftninger. Derefter er der en forklaring pa, 
hvordan malwaren installerer sig pa maskinen, hvilke funktioner den har og hvordan den skjuler 
sig fra at blive opdaget. Endeligt er der en analyse af forskellige tegn pa organisationen bag angre- 
bet fundet i malwaren. 

Levering af malwaren 

De 47 phishing-mails er vedhaeftet enten en PowerPoint-fil (*.pps), en PowerPoint slide-show-fil 
(*.ppsx) eller et Worddokument (*.docx). Klikkes der pa den vedlagte fil i phishing-mailen, abnes 
det tilsvarende Office-program. 

I Word-dokumentet er der indlagt et stort ikon, hvorpa der star 'click this page'. Et eksempel kan 
ses nedenfor: 



Ved klik eksekveres den indlagte ondsindede exe-fil ved navn 'power point.exe', og malware- 
installationen begyndes. Teknikken er anvendt, for at et potentielt offer ikke skal mistaenke, at der 
er tale om eksekvering af en exe-fil. 

I PowerPoint-praesentationerne er 'power point.exe' indlagt i skjul, og forspges automatisk ekse- 
kveret, hvis brugeren prpver at se praesentationen. 

I de tilfaelde, hvor den vedhaeftede fil er i .ppsx-format, kpres praesentationen med det samme, 
nar brugeren har klikket pa den i sin mail-klient. Herefter forspges 'power point.exe' igen automa¬ 
tisk eksekveret. 
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I alle tre tilfaelde vil Windows dog typisk (alt efter brugerens Windows-sikkerhedsindstilling) prae- 
sentere brugeren for en advarsel og bede om en bekraeftelse pa, at filen skal kpres. Et eksempel 
kan ses nedenfor: 


Happy 


Open File - Security Warning 


□ 


it be veiified. Aie you sure you want to 

Name: .. ,AHOSA~l_AppData_Local_Temp_power point.exe 
Publisher: Unknown Publisher 
Type: Application 

From: C:\Documents and Settings\brian\Local Settings\Te... 


| Run | [ Cancel | 


This file does not have a valid digital signature that verifies its 
publisher. You should only run software from publishers you trust, 
re to run? 


Itr 2015 
dear.. 


Figur 4: Windows sikkerhedsadvarsel ved afspilning af PowerPoint-praesentation med indlagt exe-fil 

Visse PowerPoints indeholder op til tyve slides med tilfaeldigt - og nogle gange ganske underhol- 
dende - materiale som f.eks. tegninger og videoer. Hensigten er at fa praesentationen til at se legi¬ 
tim ud, sadan at den ikke vaekker offerets mistanke om, at han eller hendes maskine netop er ble- 
vet inficeret med malware. 

Malware-installation og funktionalitet 

Den indlagte ondsindede fil 'power point.exe' er et selvudpakkende arkiv, der lasgger fplgende tre 
filer i brugerens %TEMP%/ -bibliotek i en folder kaldet tmp{4 tilfaeldige tal}, f.eks. "tmp5291": 

• ins{2-4 tilfaeldige talj.exe 

• mpro842.dll 

• readme.txt 

ins{2-4 tilfaeldige tal}.exe (f.eks. "ins211.exe") giver den installerede malware vedholdenhed pa 
den kompromitterede maskine. Dette gpres pa forskellige mader. For at skjule tilstedevaerelsen af 
malware pa computeren, flytter denne fil de to andre malware-filer til mappen 
C:\ProgramData\Adobe. Malwaren imiterer PDF-programmet Adobes mappe, der ikke almindelig- 
vis giver anledning til mistanke. Dertil dannes en registreringsnpgle, der tilsvarende imiterer Ado¬ 
be AIR plugin med passende filbeskrivelse. 
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mpro842.dll: indeholder alle malwarens remote access tool (RAT)-funktionaliteter. Analysen viser, 
at malwaren indeholder typiske RAT-funktioner, der blandt andet kan lave systeminformations- 
indhentning, og som kan give operatprerne af malwaren fjernadgang til maskinen. 

Dertil danner malwaren logfiler i mappen '%APPDATA%/Adobe/ ved navn mpro842,.ini og 
mpro842,.dat (bemaerk, at kommaerne ikke er en fejl). I den sidste logfil indsamles information 
om, hvilke programmer brugeren anvender, indtastninger i spgefelter og kodeordsfelter samt em- 
nefeltet i e-mails. Der er altsa tale om en keylogger-funktion. I afsnittet 'Kampagnen bredere set', 
s. 14, diskuteres hvordan disse bidder af information kan have nytte for en angriber. 

Det har vaeret muligt at identificere malware-versionsnummeret, f.eks. "00022 CPL (systmll)", 
hvoraf de fern fprste cifre afsendes, nar malwaren kommunikerer med sin C2. Malware-designerne 
og operatprerne anvender versionsnumre for at holde styr pa hvilken udgave af deres malware, 
der kommunikerer hjem ved en kompromittering. Ligesom der jaevnligt laves opdateringer til legi¬ 
tim software for at forbedre et produkt, kan malware-designerne videreudvikle pa malware og 
tilfpje nye funktionaliteter eller beskyttelses-mekanismer. 


Remote access tool (RAT) 

Et"remote access tool", eller fjernstyringsvaerkt0j, er et stykke software, der giver fjernadgang til en maskine. 
Sadanne vaerkt0jer anvendes ofte helt legitimt i forbindelse med f.eks. it-support eller til opsaetning af fjern- 
arbejdspladser. Et RAT kan ogsa vaere en del af et stykke malware, der i skjul giver en angriber uretmaessig 
adgang til en maskine eller netvaerk. 


readme.txt: er ikke en npdvendig del af malware-funktionaliteten, men indeholder uskyldigt ud- 
seende tekst relateret til "Aptana Studio", der har til hensigt at fa malwaren til at se legitim ud. 
Aptana Studios er ikke relateret til Adobe, der ellers er spgt imiteret. Se eksempel nedenfor: 


Welcome! 

If you are reading this, we'd like to thank you for your interest Aptana Studio. Please read 
through this guide carefully. For Aptana Studio 2 Upgraders [...] 


Anti-detektionsteknikker 

Efter registreringsnpglen er dannet af ins{2-4 tilfaeldige tal}.exe, pauser malwaren, indtil maskinen 
genstartes. Ved opstart tjekker malwaren for tilstedevaerelsen af en raekke almindelige antivirus- 
programmer og stopper eksekveringen af malwaren, hvis de findes. Dette forhindrer potentielt, at 
malwaren fanges og registreres af maskinens antivirus. Formalet med dette kan vaere at undga at 
g0re offeret opmaerksom pa inficeringen. En anden grund kan vaere at undga, at det installerede 
antivirus-program far mulighed for at indsamle og hjemsende samples af malwaren, hvis inficerin- 
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gen skulle blive opdaget. Dette mindsker antivirus-virksomhedernes viden om malwaren og der- 
ved ogsa evnen til at fange denne specifikke malware under andre angreb og kompromitteringer. 

Designerne af malwaren har forspgt at kryptere og skjule en del af RAT-funktionaliteterne for at 
gpre det svaerere for sikkerhedsanalytikere at afdaekke, hvad malwaren kan. Krypteringen kan og¬ 
sa have den funktion at gpre det svaerere for mailscannere at opdage malwaren i indkomne ond- 
sindede mails. 

Brugen af kommaer i mappe- og filnavne, f.eks. 'mpro842,.ini,' (se afsnittet om mpro842.dll), kan 
muligvis vaere et lavpraktisk forspg pa at omga korrekt registrering af fil-signaturer til brug i antivi- 
rusprogrammer. Brugen af tilfaeldige cifre i filnavne f.eks. "ins{2-4 tilfaeldige tal}.exe" kan spille 
samme rolle. 

Endeligt er malwaren designet til at skjule sig for teknisk analyse. Nar malware analyseres af it- 
teknikere, indsaettes og kpres det i et kontrolleret miljp - en "sandbox". Efter malwaren er ekse- 
kveret, registreres alle fplgende aendringer pa systemet af sandbox-programmet. Pa den made kan 
teknikerne afdaekke, hvorledes malwaren agerer og virker pa en inficeret maskine. Malwaren er 
designet til fprst at begynde sin installation fern minutter efter eksekvering. Pa den made vil sand¬ 
box-programmet ikke registrere aendringer, medmindre det er sat til at diagnosticere i mere end 
fern minutter. 

Flere versioner af malware 

Der kan identificeres en raekke versioner af den malware, der har vaeret anvendt i kampagnen. 
TEndringerne i malwaren ser dog ikke ud til at tilfpje megen ny funktionalitet men er primaert foku- 
seret pa at kryptere og skjule stadig flere dele af malwarens RAT-karakteristika. 

Angriber-brugernavne og bagvedliggende organisation 

Analysen viser, at Windows-brugernavnet for de personer, der har lavet de ondsindede vedhaefte- 
de filer, er gemt i selve dokumentet. Dette er sandsynligvis utilsigtet fra malware-designernes side. 
Som eksempel kan fplgende information udtraekkes fra vedhaeftningen "director.docx": 

Creator: fedora 
Last Modified By: fedora 
Create Date: 2014:05:09 04:37:00Z 
Modify Date: 2014:05:09 04:37:00Z 

Ud fra analyse af malwaren, der er blevet sendt til UM, har det vaeret muligt at opstille fplgende 
tabel med information om de ti forskellige vedhaeftninger, der er brugt i phishing-angrebet: 
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Dato 

30 Dec 2014 

30 Dec 2014 

15 Jan 2015 

22 Jan 2015 



14 Feb 2015 

14 Apr 2015 

24 Maj 2015 

15 Jun 2015 


Brugernavn 


navn pa vedhaeftning 


Filtype 


malware- 

versionsnummer 


Command and control 










payan 


ll.pps 


■PPS 


00009 


updateserverl.com 

bestupser.awardspace.info 


ya hosain 


year 2015.pps 


■PPS 


00019 


usls2.strangled.net 

updateserver3.com 


ya hosain 


happy new yaer.pps 


■pps 


00019 


usls2.strangled.net 

updateserver3.com 


mofajeho 


ksa event.pps 


■pps 


00007 


updateserverl.com 

bestupser.awardspace.info 


135133128 

YAHOSA 


i.ppsx 


■PPSX 


00011 


updateserverl.com 

bestupser.awardspace.info 


ya hosain 


why.pps 


■pps 


00019 


usls2.strangled.net 

updateserver3.com 


payan 


salam.pps 


■pps 


00007 


updateserverl.com 

bestupser.awardspace.info 


fedora 


director.docx 


.docx 


00022 


usls2.strangled.net 

updateserver3.com 


salazar 


message.docx 


.docx 


00022 


usls2.strangled.net 

updateserver3.com 


mofajeh 


dunya.pps 


■PPS 


00024 


usls2.strangled.net 

updateserver3.com 


Tabel 1: Brugernavn, filvedhaeftningsnavn, filtype, malware-versionsnummer og C2 for ti ondsindet vedhaeftninger brugt i angrebet. 

Tabellen giver et indtryk af organisationen bag angrebet. For det fprste findes der syv forskellige 
brugernavne i metadata i de ondsindede vedhaeftninger. Dette giver muligvis en indikation pa an- 
tallet af malware-designere og operatprer bag angrebet. Det er dog her vigtigt at understrege, at 
der ikke npdvendigvis er tale om darlig operationssikkerhed fra angribernes side, og at disse in- 
formationer nemt kan manipuleres til at slpre de virkelige angribere. For det andet indikerer bru- 
gen af forskellige versioner af malware i perioden en lettere ukoordineret organisation, der ikke 
benytter sig af den seneste opdaterede udgave af deres "vaben". F.eks. anvender brugeren 'pay- 
an' i en phishing-mail fra den 14. februar 2015 version 00007 af malwaren til trods for, at vi kan 
konstatere, at en nyere version, 00019, er i brug 16 dage fpr, den 28. januar 2015. Dette kan redu- 
cere sandsynligheden for en succesfuld kompromittering. Grunden er, at aeldre versioner af mal¬ 
waren kommunikerer med en tilsvarende aeldre C2-infrastruktur (se tabellens hpjre kolonne 
"Command and control"). Jo laengere den samme C2-infrastruktur anvendes, desto stprre er sand¬ 
synligheden for, at den anvendte IP-adresse er blevet opdaget og registreret som en IOC med til¬ 
svarende hpjere sandsynlighed for, at malwaren bliver stoppet af ofrenes sikkerhedsforanstaltnin- 
ger. 

Endvidere er der i en og samme mail (30. december 2014) to vedhaeftninger med malware med 
forskellige versioner (00009 og 00019). For angriberne har det den negative konsekvens, at den 
bagvedliggende associerede C2-infrastruktur med sikkerhed kan sammenkobles og konstateres 
ondsindet: updateserverl[.]com og bestupser.awardspace[.]info med usls2.strangled[.]net og 
updateserver3[.]com. 


12 























3. Forensic-analyse 

Dette kapitel beskriver hvad der er sket pa den kompromitterede maskine hos UM. Der er derefter 
en beskrivelse af, hvordan malwaren blev stoppet i at kommunikere med sin C2 af UM's proxyser- 
ver og derved hindrede angriberne i at fa adgang til maskinen eller data pa den. 

Analyse af den kompromitterede maskine 

En analyse af harddisken fra den kompromitterede maskine viser, at den fprste phishing-mail an- 
kommer i #ls postkasse den 9. december 2014. I perioden frem til den sidste ankomne phishing- 
mail 15. juni 2015 modtager #1 i alt 18 ondsindede mails. Derudover bliver nogle phishing-mails 
slettet undervejs af UM's centrale sikkerhedslpsning (mailscanner). 

En enkelt phishing-mail er den 15. januar 2015 indgaet til maskinen via en bruger, der har abnet 
postkassen #2 pa computeren. 

Det tidligst registrerede tidspunkt for malware-aktivitet pa maskinen (mappen 'tmp4486' dannes) 
er den 26. februar 2015, mere end to maneder efter den fprste phishing-mail. Blandt andet pa 
grund af det store antal phishing-mails er det sandsynligt, at maskinen har vaeret kompromitteret 
fpr dette tidspunkt. Den sidste malware-aktivitet registreres den 13. juli 2015, syv dage efter CFCS 
har konstateret, at der er ondsindet trafik i UM-sensoren. 


2015-01-15; ENESTE PHISHING-MAIL 
POSTKASSE U2 


2015-04-18; F0RSTE ANTI VIRUS-ALARM 
FRA CENTRALE SI KKERH EDS SYSTEM 


2014-12-09; F0RSTE PHISHING-MAIL 
POSTKASSE (J1 


2014 - 12-09 


2015-04-03: F0RSTE ENTRY I ANTIVIRUS 
LOG 


2015-02-26, F0RSTE REGISTREREDE 
MALWAR E-AKTIVITET: MAPPEN 
TMP4466' CANNES 


2015-07-13; SIDSTE REGISTREREDE 
MALWARE-AKTIVITET: 

AIR PLUG I Nl V7.24.4 ,OLL 


2015-04-15; POWER POINT.EXE DANNES 
OG ACCESSES 


Figur 5: Tidslinje med udgangspunkt i forensic-analyse af den kompromitterede maskine 

Det er sandsynligt, at maskinen er blevet kompromitteret ad flere omgange, da der er fundet flere 
forskellige versioner af malwaren pa maskinen. Dertil er der registreret flere tegn pa, at malwaren 
er blevet slettet og geninstalleret. Forskellige log-filer fra maskinen indikerer, at malwaren har 
forarsaget ukendte fejl i systemet i perioden marts til april 2015. Det er derfor sandsynligt, at 
malwaren har kprt i denne periode. "Power point.exe" ses og kpres fprste gang pa systemet 15. 
april 2015, hvilket indikerer, at der er blevet klikket pa en ondsindet vedhaeftning igen pa dette 
tidspunkt, og at systemet er blevet kompromitteret endnu engang. 

I det omfang malwaren har forspgt at kommunikere med sin C2, er trafikken blevet blokeret af 
UM's proxyserver. Proxyservere kan konfigureres til at skanne al indgaende-, eller som i dette til- 
faelde, udgaende netvaerkstrafik og filer. Fordelen ved en proxyserver er, at den fungerer som et 








sidste forsvar mod udtraekning af f0lsomme data, hvis det lykkes angribere at undvige mailscanne- 
re samt lokale antiviruslbsninger. 

Kampagnen bredere set 

Som naevnt i afsnittet 'Malware-installation og funktioner' anvender malwaren en keylogger, som 
indsamler information om, hvilke programmer brugeren anvender, indtastninger i spgefelter og 
kodeordsfelter samt emnefeltet i e-mails. Samlet set giver oplysningerne et saet interessante op- 
lysninger og muligheder. Stjalne kodeord kan anvendes til at kompromittere brugeren yderligere 
og til at fa adgang til fplsomme informationer. De kan ogsa bruges til at afsende e-mails fra den 
kompromitterede bruger, som det er beskrevet i afsnittet 'Kompromitterede afsenderkonti'. Dette 
kan kombineres med information om brugerens emnefelter i e-mails til at skraeddersy spear- 
phishing-mails til andre ofre (ofre, der f.eks. kan findes i kontoens adressekartotek), som den 
kompromitterede bruger maske allerede har haft korrespondance med. For offeret vil phishing- 
mailen komme fra en kendt person og omhandle et relevant emne og derfor ikke give anledning til 
mistanke. Pa denne made kan en kompromittering skabe en sneboldseffekt og skabe fundament 
for yderligere inficeringer. 

Informationen fra keyloggeren kan ogsa anvendes til at danne et bredere indtryk af, hvem den 
kompromitterede bruger mailer med og om hvad, og pa den made afdaekke netvaerk og interesser. 
En fordel for angriberne ved denne type indhentning er, at det ikke afslpres, hvad der specifikt 
spges efter. 

I forbindelse med analysen er det blevet klart, at en lang raekke organisationer og enkeltpersoner i 
lande bade i og uden for EU har vaeret involveret i angrebet og har modtaget de samme phishing- 
mails. Op til 68 postkasser i et enkelt land har vaeret mal i samme bplge af phishing-mails. 

Kompromitterede konti er anvendt til at sprede malwaren yderligere, hvilket indikerer at et mal 
kan vaere et springbraet til et andet. UM har saledes ikke npdvendigvis vaeret det primaere fokus 
for angriberne. 


Opsamling pa sagen 

Angriberne har afsendt et stort antal phishing-mails over en laengere periode. Det betyder, at 
bagmaendene er vedholdende og hpjt motiverede. Det lykkedes angriberne at kompromittere en 
enkelt maskine, men UM's sikkerhedsforanstaltninger forhindrede den installerede malware i at 
kommunikere med C2-serveren. Angriberne har derfor ikke haft adgang til maskinen, og der er 
ikke blevet kompromitteret data i forbindelse med angrebet. 
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Anbefalinger 

Pa baggrund af den beskrevne haendelse har CFCS en raekke anbefalinger til, hvorledes organisati- 
oner har mulighed for at reducere risikoen for at blive udsat for et vellykket APT-angreb. 

Angrebet mod UM viser, at indsatsen imod APT-angreb b0r ske pa bade ledelsesniveau, pa teknisk 
niveau og pa brugerniveau. 

Det er af afgprende betydning, at informationssikkerheden er forankret i ledelsen og at trusselbil- 
ledet er kendt, saledes at organisationen kan agere pa den baggrund. Ledelsen skal ligeledes sikre, 
at organisationen har adgang til de npdvendige ressourcer, herunder kompetencer til at ivaerksaet- 
te de fornpdne sikringstiltag. 

Pa det tekniske niveau vurderer CFCS, at de fire generelle sikringstiltag, der er beskrevet i publika- 
tionen "Cyberforsvar der virker” fra 2013, forsat kan daemme op for mere end 85 % af alle angreb. 
CFCS vurderer dog, at den aktuelle haendelse tydelig viser effektiviteten af at ivaerksaette tiltag pa 
flere fronter og dermed implementere forsvar "i dybden". UM's Ipsning sikrede i den aktuelle sag, 
at en del af de indkomne phishing-mails blev opdaget og stoppet af UM's mailsscanner, men nogle 
slap igennem. Et udvalg af disse blev fanget af den lokale eller den centrale antiviruslpsning og for 
sa vidt angar de resterende stoppede UM's proxyserver malwaren i at kommunikere med sin C2. 
Samlet set var resultatet, at angriberne aldrig fik adgang til en kompromitteret maskine. 

En forudsaetning for at ovennaevnte tiltag fungerer effektivt er, at organisationen Ipbende monito- 
rerer de anvendte it-sikkerhedslpsninger, og at man reagerer pa de kritiske haendelser pa bag¬ 
grund af indarbejdede retningslinjer for, hvorledes disse kritiske haendelser skal handteres. 

CFCS mener, at organisationen, med ovennaevnte tiltag, vil vaere godt rustet i beskyttelsen imod 
APT-angreb, men den aktuelle haendelse illustrerer ogsa vigtigheden af en h0j og konstant sikker- 
hedsbevidsthed hos alle brugere i en organisation. En infektion kan, i den aktuelle situation, kun 
gennemfpres ved, at malware i en phishing-mails blev aktiveret af en bruger. CFCS har i oktober 
2015 udgivet sikkerhedsanbefalingen "Spear-phishing - et voksende problem". I denne publikation 
beskriver CFCS phishing grundigt, og hvad organisationerne kan g0re for at beskytte sig mod 
spear-phishing. Publikationen beskriver ogsa, hvorledes brugeren kan opdage ondsindede mails, 
og hvad organisationen kan g0re for at begraense skaden, hvis en bruger kommer til at abne en 
vedhaeftning eller trykke pa et indlagt link. 

Samlet set vil anbefalingerne derfor vaere: 

• Forankring af informationssikkerhed i topledelsen 

• Kendskab i topledelsen til det aktuelle trusselbillede 

• Adgang til de npdvendige ressourcer 

• Implementering af de fire tiltag fra "Cyberforsvar der virker" 

• Forsvar i dybden 

• Lpbende monitorering 

• H0j og konstant sikkerhedsbevidsthed i organisationen. 
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Unders0gelsesenheden 

I december 2014 udkom den f0rste nationale strategi for cyber- og informationssikkerhed. Forsvaret mod 
cybertrusler blev yderligere styrket i 2015 i forbindelse med regeringens styrkede indsats mod terror. Faelles 
for de to tiltag er malet med at forankre indsatsen mod cyberangreb i CFCS og g0re den mere effektiv. Et af 
initiativerne i de to tiltag var at etablere en saerlig enhed, der med udgangspunkt i st0rre cyberhaendelser har 
til opgave at unders0ge, hvad der haendte og hvorfor det eventuelt gik gait. Pa baggrund af disse udredninger 
udsender Unders0gelsesenheden rapporter, sa myndigheder og virksomheder kan drage nytte af erfaringer- 
ne fra tidligere haendelser og beskytte sig bedre. 

Uddrag fra National strategi for cyber- og informationsstrategi: 

"Regeringen hor indf0rt, at alle stotslige myndigheder ska! underrette Center for Cybersikkerhed ved st0rre 
cybersikkerhedshaendelser. Blandt de cybersikkerhedshaendelser, som indrapporteres, vil der vaere haendelser , 
der ersaerlige olvorlige. Regeringen 0nsker, at dersker relevant udredning og analyse afsadanne haendelser. 
Samtidig ska I det sikres, at erfaringerne fra haendelserne opsamles og i st0rst muligt omfang stilles til radig- 
hed for and re myndigheder og virksomheder , saledes at erfaringerne kan anvendes aktivt i arbejdet med at 
forebygge fremtidige haendelser. Derfor vil Center for Cybersikkerhed: Etablere en enhed til unders0gelse af 
st0rre cybersikkerhedshaendelser. Enheden bestar som udgangspunkt af medarbejdere fra Center for Cyber¬ 
sikkerhed. Andre myndigheder-fx Digitaliseringsstyrelsen og PET - inkluderes afhaengig af haendelsen. Enhe¬ 
den etableres i 1. kvartal 2015Z' 1 


1 National strategi for cyber- og informationsstrategi, Regeringen 2014, side 23 
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Bilag 1 - Hvad er et APT-angreb? 

APT, eller Advanced Persistant Threat, er en betegnelse for en trussel eller et angreb, hvor angri- 
beren forspger at opna uautoriseret adgang til en udvalgt virksomheds eller myndigheds net-vaerk 
med det formal i al ubemaerkethed at opna adgang til netvaerket gennem laengere tid. Hensigten 
vil typisk vaere at spionere og udtraekke data fra netvaerket. Ofte er det virksomheder inden-for 
udvikling og produktion af avanceret elektronik, telekommunikation og it-sikkerhed eller fravirk- 
somheder i medicinal-, forsvars- og luftfartsindustrien, der er malene for denne type angreb, men 
ogsa offentlige myndigheder er i farezonen. 

Herunder beskrives en mulig fremgangsmade ved et APT-angreb. 


Modus - overordnet beskrivelse af de metoder, som hackerne benytter sig af 

Et APT-angreb begynder med, at angriberne bag udfprer en ofte omfattende rekognoscering og 
underspgelse af det netvaerk, der skal kompromitteres. Det er i denne fase, at angriberne opnar en 
viden, som kan bruges til at tilpasse den malware, der skal bruges i angrebet. Det er ogsa under 
rekognosceringsfasen, at angriberne g0r sig begreb om, hvordan de bedst kan bruge social engi¬ 
neering. Efterf0lgende forberedes og afsendes malwaren. Denne er ofte enten vedhaeftet til en e- 
mail som en legitimt udseende fil eller indlagt i e-mailen som et link. Nar offeret klikker pa den 
vedhaeftede fil eller linket i e-mailen, kan vedkommendes computer blive inficeret. 



Figur 6: Fem trin i et APT-angreb 

Nar angriberne har faet etableret fodfaeste i det kompromitterede netvaerk, bestraeber de sig pa, 
at deres aktiviteter ikke bliver bemaerket. Et af kendetegnene ved APT-angreb er eksempelvis, at 
angriberne ofte forspger at gemme sig i netvaerkstrafikken inden for normale kontortider. Endvi- 
dere g0r angriberne brug af VPN-forbindelser, hvor de ved hjaelp af legitime brugernavne og pass¬ 
words far fjernadgang til et kompromitteret netvaerk. 

CFCS er bekendt med, at angribere i en raekke tilfaelde har skaffet sig adgang til samtlige pass¬ 
words i den angrebne organisation via angreb pa password-databasen i de kompromitterede net¬ 
vaerk. Denne database downloades til servere, som angriberne kontrollerer. Her bliver de krypte- 
rede passwords brudt ved hjaelp af sakaldte brute force-metoder eller opslag i tabeller over gaeng- 
se passwords. Nar angriberne har adgang til brugernavne og passwords, kan de bevaege sig for- 
holdsvist ubemaerket og tilsyneladende legitimt rundt pa det kompromitterede netvaerk. Endeligt 
vil angriberne forspge at fastholde deres adgang til det 0nskede netvaerk. Dette betyder eksem¬ 
pelvis, at de vil forspge at installere saerligt malware, skjult dybt i systemet pa den enkelte compu¬ 
ter, som kan vaekkes til live, hvis APT-gruppens oprindelige bagdpr opdages og lukkes. 
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